침해사고 대응 절차
개인정보보호법 제34조 및 정보통신망법 제48조의3에 따른 침해사고 대응 안내
개인정보 유출, 해킹, 악성코드 감염 등 보안 사고가 의심되면 즉시 아래 절차에 따라 신고해주세요.
1. 회사의 침해사고 대응 절차
회사는 침해사고 발생 시 개인정보보호법 제34조 및 정보통신망법 제48조의3에 따라 다음과 같이 대응합니다:
1단계: 인지 즉시 (0시간)
- 침해 의심 신고 접수 또는 보안 시스템 감지 시 즉시 격리
- 침해 시스템 접근 차단 및 추가 피해 방지
- 침해 범위 1차 식별 (영향 받은 회원 수, 유출 정보 종류)
2단계: 24시간 내
- 한국인터넷진흥원(KISA) 신고 (privacy.go.kr)
- 개인정보보호위원회 신고 (1,000명 이상 영향 시 의무)
- 관련 법령 위반 가능성 검토 및 법무 자문
3단계: 72시간 내
- 피해 회원 개별 통지 (이메일 또는 SMS)
- 유출 정보 종류, 유출 시점, 회사 대응 사항, 피해자 권리 안내
- 홈페이지 공지 및 보도자료 (대규모 사고 시)
4단계: 사후 조치
- 침해 원인 분석 및 재발 방지 대책 수립
- 관련 시스템 보안 강화 및 외부 보안 감사
- 피해자 구제 절차 안내 (필요 시 손해배상 협의)
- 경찰청 사이버수사국 신고 (cyberbureau.police.go.kr / 182)
2. 회원이 침해를 의심할 때
다음과 같은 상황이 의심되면 즉시 신고해주세요:
- 본인이 가입하지 않은 사이트에서 가입 확인 메일 수신
- 본인의 비밀번호가 갑자기 변경됨
- LABPIK에서 보낸 적 없는 결제 알림 수신
- 등록한 적 없는 결제 내역이 발생
- LABPIK 사칭 피싱 메일/문자 수신
신고 방법
- 회사 즉시 신고: [email protected] 또는 070-0000-0000
- 외부 기관 신고 (병행 가능):
- 개인정보침해신고센터: privacy.go.kr / 국번없이 182
- 한국인터넷진흥원(KISA): 118
- 경찰청 사이버수사국: cyberbureau.police.go.kr / 182
- 금융감독원 (피싱·결제 사기): 1332
3. 회사의 보안 조치 현황
- 저장 데이터 암호화: 셀러 시크릿 키, 결제 정보 등 민감 데이터 AES-256-GCM 암호화
- 전송 데이터 암호화: HTTPS (TLS 1.3) 강제 적용
- 접근 제어: 관리자 권한 분리, 행위 기록(audit log)
- 정기 백업: 매일 자동 백업, 30일 이상 보관
- 접근 권한 최소화: 데이터베이스 RLS(행 수준 보안) 적용
- 침입 탐지: 이상 패턴 자동 감지 및 차단
4. 피해 발생 시 회원의 권리
개인정보보호법 제35조 및 제39조에 따라 침해 피해 회원은 다음 권리를 행사할 수 있습니다:
- 피해 사실 통지받을 권리 (제34조)
- 처리 정지 및 삭제 요구권 (제37조)
- 손해배상 청구권 (제39조) — 정신적 손해 포함
- 분쟁 조정 신청권 — 개인정보분쟁조정위원회 (kopico.go.kr / 1833-6972)